製品・ソフトウェアに関する情報

JVN脆弱性詳細

Norton AntiVirus などで使用される Symantec NAVOPTS.DLL ActiveX コントロールにおけるコントロールをクラッシュされる脆弱性

タイトル	Norton AntiVirus などで使用される Symantec NAVOPTS.DLL ActiveX コントロールにおけるコントロールをクラッシュされる脆弱性
概要	Norton AntiVirus、Internet Security、および System Works で使用される Symantec NAVOPTS.DLL ActiveX コントロールは、以下の脆弱性が存在します。 (1) アプリケーションに組み込まれた Web ブラウザのみ使用するように設計されている、Web 上のコンテンツ処理に関する不備があるため、"コントロールをクラッシュ" される脆弱性が存在します。 (2) Internet Explorer を "defunc state" に配置するため、スクリプティングが安全か否かの設定に関わらず、他の Symantec ActiveX コントロールと共に、任意のコードを実行される脆弱性が存在します。本脆弱性は、E-mail Auto-Protect の問題となっていましたが、その問題には、CVE-2007-3771 が割り当てられました。
想定される影響	第三者により、以下の影響を受ける可能性があります。 (1) "コントロールをクラッシュ" される可能性があります。 (2) 他の Symantec ActiveX コントロールを含む任意のコードを実行される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2007年5月9日0:00
登録日	2012年12月20日18:02
最終更新日	2012年12月20日18:02

CVSS2.0 : 危険
スコア	8.5
ベクター	AV:N/AC:M/Au:S/C:C/I:C/A:C

影響を受けるシステム

シマンテック

Norton AntiVirus 12.2.0.13

Norton Internet Security

Norton SystemWorks 2005 および 2006

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2006-3456	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3456
National Vulnerability Database (NVD)
2	CVE-2006-3456	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-3456

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	名前	URL
Symantec Corporation
1	SYM07-005	http://www.symantec.com/avcenter/security/Content/2007.05.09.html

変更履歴

No	変更内容	変更日
0	[2012年12月20日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2006-3456

概要	The Symantec NAVOPTS.DLL ActiveX control (aka Symantec.Norton.AntiVirus.NAVOptions) 12.2.0.13, as used in Norton AntiVirus, Internet Security, and System Works 2005 and 2006, is designed for use only in application-embedded web browsers, which allows remote attackers to "crash the control" via unspecified vectors related to content on a web site, and place Internet Explorer into a "defunct state" in which remote attackers can execute arbitrary code in addition to other Symantec ActiveX controls, regardless of whether they are marked safe for scripting. NOTE: this CVE was inadvertently used for an E-mail Auto-Protect issue, but that issue has been assigned CVE-2007-3771.
公表日	2007年5月11日19:19
登録日	2021年1月29日15:41
最終更新日	2017年7月20日10:32

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:symantec:norton_antivirus:2005:::::::*
cpe:2.3:a:symantec:norton_antivirus:2006:::::::*
cpe:2.3:a:symantec:norton_internet_security:2005:::::::*
cpe:2.3:a:symantec:norton_internet_security:2006:::::::*
cpe:2.3:a:symantec:norton_system_works:2005:::::::*
cpe:2.3:a:symantec:norton_system_works:2006:::::::*

構成1	以上	以下	より上	未満
cpe:2.3:a:symantec:norton_antivirus:2005:::::::*
cpe:2.3:a:symantec:norton_antivirus:2006:::::::*
cpe:2.3:a:symantec:norton_internet_security:2005:::::::*
cpe:2.3:a:symantec:norton_internet_security:2006:::::::*
cpe:2.3:a:symantec:norton_system_works:2005:::::::*
cpe:2.3:a:symantec:norton_system_works:2006:::::::*

No	URL	refsource	タグ
1	http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=529	IDEFENSE	Vendor Advisory
2	http://osvdb.org/35075	OSVDB
3	http://secunia.com/advisories/25172	SECUNIA	Vendor Advisory
4	http://www.securityfocus.com/bid/23822	BID
5	http://www.securitytracker.com/id?1018031	SECTRACK
6	http://www.symantec.com/avcenter/security/Content/2007.05.09.html	CONFIRM	Vendor Advisory
7	http://www.vupen.com/english/advisories/2007/1751	VUPEN	Vendor Advisory
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/34200	XF